Quantencomputer stellen die Sicherheit bestehender Verschlüsselung grundlegend infrage. Unternehmen, die sich nicht auf den Q-Day vorbereiten, riskieren schon heute, dass ihre Daten morgen entschlüsselt werden. Warum Unternehmen jetzt auf Post-Quanten-Kryptografie umsteigen müssen und worauf es dabei ankommt.
Wer Verschlüsselung frühzeitig auf Post-Quanten-Kryptografie umstellt, senkt das Risiko, dass heute geschützte Daten in einigen Jahren entschlüsselt werden.
(Bild: Midjourney / Paula Breukel / KI-generiert)
Bitcoins, ETFs oder Krypto-Wallets: Müssen wir um unsere Finanzen und Investitionen bangen, sobald erste Cyberattacken mit Quantencomputern möglich werden? Abwegig ist diese Vorstellung nicht. Gängige Verschlüsselungsverfahren gelten zwar noch als sicher. Doch mit der rasanten Entwicklung von Quantencomputern bröckelt dieser Schutz.
Empfehlung der Redaktion
Die Welt der Quantenmechanik ist für viele von uns eine unbegreifliche. Doch genau dorthin müssen wir uns begeben, wenn wir verstehen wollen, wie Quantencomputer funktionieren. In Folge 99 des Security-Insider Podcast sprechen wir mit Professor Christoph Becher von der Universität des Saarlandes darüber, wie Quantencomputer funktionieren, welche sinnvollen Anwendungsmöglichkeiten es für die Super-Computer gibt, aber auch welche Gefahren dadurch lauern. Außerdem erklärt Professor Becher, welche Lösungsansätze es schon heute gibt. Wir wünschen viel Spaß, beim Zuhören!
Die „Kryptokalypse“, also das Risiko, dass Cyberkriminelle mithilfe eines Quantenrechners hochsensible Daten entschlüsseln, wird immer wahrscheinlicher. Erst im Juni warnte die Kooperationsgruppe für Netz- und Informationssysteme (NIS) der Europäischen Union eindringlich. Sie fordert, dass die EU-Mitgliedsstaaten schon 2026 mit dem Übergang zur quantensichern Verschlüsselung starten. Vor allem Unternehmen, die kritische Infrastrukturen (KRITIS) betreiben, sollten so bald wie möglich beginnen und spätestens bis Ende 2030 auf Post-Quanten-Kryptografie (PQK) umgestellt haben.
Möglicher Q-Day im nächsten Jahrzehnt
Noch ist unklar, wann Quantencomputer im großen Stil derzeitige Verschlüsselungsmechanismen knacken können. Das Global Risk Institut geht davon aus, dass der sogenannte Q-Day innerhalb der nächsten zehn Jahre eintreten wird. Gemeint ist der Zeitpunkt, an dem Quantencomputer kommerziell verfügbar sind und von Unternehmen wie von Cyberangreifern gleichermaßen flächendeckend genutzt werden können.
Ähnlich wie bei Zero-Day-Attacken könnten Kriminelle am Q-Day bisher sichere Verschlüsselungen erfolgreich angreifen, sodass bestehende Public-Key-Infrastrukturen schlagartig ihre Schutzfunktion verlieren. Die Cyberangreifer könnten digitale Identitäten fälschen, Transaktionen manipulieren oder vertrauliche Dokumente auslesen. Darüber hinaus besteht die Gefahr, dass sensible personenbezogene Informationen kompromittiert werden. Bedroht wären weltweit alle Unternehmen, die Daten, APIs oder Netzverbindungen mit Verschlüsselungszertifikaten absichern. Für sie hätte dies nicht nur rechtliche Konsequenzen, es könnte auch zu einem erheblichen Vertrauensverlust bei Kunden und Geschäftspartnern führen.
Während der genaue Zeitpunkt des Q-Day noch offen ist, sind die Risiken bereits real: Auch Informationen, die heute in Netzwerken, Langzeitarchiven oder Datenbanken verschlüsselt abliegen, können im Nachhinein entschlüsselt werden. Nach dem Motto „Harvest now, Decrypt later“ (zu Deutsch: Sammel jetzt, entschlüssel später) sammeln Cyberkriminelle bereits verschlüsselte Daten, um sie später mithilfe von Quantencomputern zu decodieren.
Im Visier der Hacker sind vor allem Unternehmen, die langfristig schützenswerte Daten speichern oder kritische Infrastrukturen betreiben. Für Industriebetriebe mit geistigem Eigentum sowie Betreiber kritischer Infrastrukturen, etwa aus den Bereichen Finanzen, Gesundheit, Energie und Verteidigung, ist der Handlungsbedarf besonders hoch: Hier können kompromittierte Daten nicht nur wirtschaftlichen Schaden verursachen, sondern auch die Versorgung und gesellschaftliche Stabilität gefährden.
Globale Herausforderungen der Quanten-Ära
Angesichts dieser Bedrohung ist klar: Wir müssen uns auf die nächste Generation der Verschlüsselung und damit auf eine globale Einführung der Post-Quanten-Kryptografie vorbereiten. Die globale Migration erinnert an frühere Technologiewechsel, etwa den Umstieg vom Data-Encryption-Standard (DES) auf den Advanced-Encryption-Standard (AES) ab 2001. Auch damals war eine koordinierte, weltweite Ablösung eines unsicher gewordenen Verschlüsselungsverfahrens notwendig. Der Wechsel zu AES verlief nicht über Nacht, sondern erforderte Planung, Investitionen und die Anpassung vieler Systeme. Die Herausforderung bei der Post-Quanten-Kryptografie ist noch größer: Sie betrifft nicht nur einzelne Algorithmen, sondern die gesamte Infrastruktur der digitalen Kommunikation und das mit erheblichen Auswirkungen auf Wirtschaft, Verwaltung und Gesellschaft.
Hinzu kommt eine neue geopolitische Dimension: Die Standardisierung post-quantensicherer Algorithmen wird derzeit vor allem von US-Institutionen wie dem National Institute of Standards and Technology (NIST) vorangetrieben. Viele Unternehmen in Deutschland und Europa sind auf Zertifizierungsstellen, Technologien und Expertise aus dem Ausland angewiesen. Diese Abhängigkeit birgt Risiken, etwa bei Handelskonflikten, politischen Spannungen oder regulatorischen Änderungen. Wer die eigene Sicherheitsarchitektur jetzt plant, sollte diese Faktoren berücksichtigen und frühzeitig Strategien entwickeln, um seine technologische Handlungsfähigkeit zu sichern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das sind die Hürden auf dem Weg zur Quantenresistenz
Erste quantensichere Algorithmen sind bereits verfügbar, ihre Integration in bestehende Systeme ist jedoch komplex und aufwendig. Sicherheitsverantwortliche sind gut beraten, für die Umstellung auf Post-Quanten-Kryptografie mehrere Jahre einzuplanen. Um das Tempo zu erhöhen, können Regulierungsbehörden die entscheidenden Treiber sein. Erst wenn klare Vorgaben erarbeitet wurden – beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) – wird das Thema in der täglichen Risikoabwägung von Unternehmen eine größere Rolle spielen.
Der Wechsel auf post-quantensichere Kryptografie ist nicht nur eine technische Herausforderung, sondern birgt auch potenzielle Risiken. Neue Verschlüsselungsalgorithmen und deren Implementierungen sind anfangs weniger erprobt als die etablierten Methoden. Fehler in der Integration, etwa bei Hybrid-Verfahren, die klassische und post-quantensichere Algorithmen kombinieren, können neue Einfallstore für Angreifer schaffen. Zudem müssen Unternehmen künftig „crypto agile“ werden. Das heißt, sie müssen in der Lage sein, kryptografische Verfahren oder Zertifikate flexibel und schnell auszutauschen, wenn neue Schwachstellen entdeckt werden. Die Umstellung auf Post-Quanten-Kryptografie erfordert daher neben technischem Know-how immer auch die kontinuierliche Überwachung und Anpassung der Sicherheitsarchitektur.
Wie sollten Unternehmen am besten vorgehen, um sich umfänglich vor Quantenangriffen zu schützen? Vor allen Dingen sollten sie die Umstellung auf Post-Quanten-Kryptografie zeitnah angehen, um Risiken und überhastete Migrationen zu vermeiden. Externe Experten und spezialisierte Berater unterstützen bei der Einführung und helfen beispielsweise, die bestehende Cyberstrategie anzupassen oder Wissenslücken zu schließen.
Im ersten Schritt sollten Unternehmen eine umfassende Bestandsaufnahme durchführen und klären, welche Verschlüsselungstechniken und Zertifikate sie einsetzen: von E-Mails über Netzwerkverbindungen bis hin zu Datenbanken. Anschließend ist es notwendig, besonders schützenswerte und auch künftig noch relevante Daten zu identifizieren und deren Umstellung auf quantensichere Verfahren zu priorisieren. Eine gezielte Risikoanalyse hilft dabei, Schwachstellen in den eigenen Systemen und Prozessen zu erkennen und die möglichen Folgen eines Angriffs besser einzuschätzen. Auf dieser Basis lässt sich eine Migrationsstrategie entwickeln, mit der die Umstellung auf Post-Quanten-Kryptografie frühzeitig geplant und die tiefgreifenden Veränderungen in der IT-Infrastruktur berücksichtigt werden.
Die Zeit klassischer Verschlüsselung läuft ab und es gilt, die eigene Sicherheitsstrategie auf die Quanten-Ära vorzubereiten. Dabei ist die Migration zu Post-Quanten-Kryptografie keine IT-Frage, sondern eine strategische Aufgabe. Die Unternehmensführung muss notwendige Ressourcen bereitstellen, Verantwortlichkeiten regeln und potenzielle Risiken auf höchster Ebene bewerten. Wer dies berücksichtigt und heute aktiv wird, schützt nicht nur seine Daten. Er erhält seine Wettbewerbsfähigkeit und sichert sich das Vertrauen von Kunden und Partnern.
Über den Autor: Moritz Anders ist Partner und Cyber Security Leader bei PwC Deutschland. Er berät Unternehmen aller Branchen bei komplexen Fragestellungen rund um Cyber-Technologien und unterstützt sie dabei, ihre digitale Zukunft sicher zu gestalten, neue Technologien verantwortungsvoll einzusetzen und Sicherheit als strategischen Erfolgsfaktor zu verankern – etwa in Umsetzungsprojekten zu Post-Quanten-Technologien, Identity & Access Management oder Zero Trust.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0c/38/0c38e8e62e36ccee6a34f7977d36e9aa/0124884872v2.jpeg "Die Bedrohung von Verschlüsselung durch Quantencomputer ist zwar noch Zukunftsmusik, aber wer sich frühzeitig dem Thema quantensichere Kryptographie widmet, minimiert Risiken, und bleibt regulatorisch konform. (Bild: © Yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/26/8c2660f9921f137b23acfe2f8a3b49f3/0114326430.jpeg "Dank Quantenüberlagerung und -verschränkung wird die Rechenkapazität mit ernsthaften Quantenrechnern förmlich explodieren. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/c5/23/c52364ae8656e045d2cde52d6e55ad5c/0124979083v2.jpeg "Bis zur Marktreife von Quantencomputern dauert es zwar noch etwas, doch frühes Handeln zahlt sich aus. Wer gut auf den Q-Day vorbereitet wird, handelt im Ernstfall dann auch souverän. (Bild: © Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/bd/b5bd4dba980bce6ee8f5a147e13b97fb/0126746046v2.jpeg "Cat-Qubits existieren in zwei Quantenzuständen gleichzeitig und sollen bei Quantencomputern die Effizienz bei der Fehlerkorrektur um bis zu 90 Prozent steigern. (Bild: © koldunova - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/6a/ca6a8707314928a4b325c1d7107168af/0124941367v1.jpeg "Die experimentelle Quanteninformatik macht kontinuierlich Fortschritte. Nun wächst die Sorge, diese neue Technologie könnte weltweit die Sicherheit von Verschlüsselungssystemen mit öffentlichen Schlüsseln gefährden. (Bild: © Bartek Wróblewski - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")